如何實現一個許可權管理系統?
- 2019 年 11 月 4 日
- 筆記
系統安全一直是在系統開發中不可規避的問題,而許可權控制又跟系統安全密不可分,大到用戶的訪問,小到一個頁面的按鈕,都有可能涉及到許可權的控制。而renren-security便給我們提供了一套許可權系統開發的解決方案。
renren-security是"人人社區"社區開源的輕量級許可權管理系統。系統採用SprinBoot、Mybatis、Shiro框架進行開發,極低門檻,拿來即用,支援分散式部署、Quartz分散式集群調度、部門管理、數據許可權、雲存儲等功能。
項目特點
- 靈活的許可權控制,可控制到頁面或按鈕,滿足絕大部分的許可權需求
- 完善的部門管理及數據許可權,通過註解實現數據許可權的控制
- 完善的XSS防範及腳本過濾,徹底杜絕XSS攻擊
- 支援MySQL、Oracle、SQL Server、PostgreSQL等主流資料庫
運行效果.jpg
系統結構的設計也比較清晰,由admin、api、common等幾個模組組成,每個模組實現的功能大體如下:
common:公共模組,以jar包的形式被其他模組所依賴。實現了一些工具類和公共功能。包含時間處理、分頁、Sql過濾、Xss過濾和Redis切面定義、自定義異常處理等功能。
admin:管理系統模組,以war包形式獨立部署。基於前後端分離的思想,主要用來用來開發後台管理系統。包含用戶管理、角色管理、部門管理、菜單管理、定時任務、文件上傳、API校驗,同時採用Redis進行數據快取,支援單機和集群的部署。
api:API介面模組,以war包形式獨立部署。模組主要提供給前端UI調用的一些業務介面,實現了用戶註冊、登錄、介面許可權認證和用戶資訊獲取。同時整合了swagger2實現了API介面文檔,方便了介面的查詢和調試。
系統架構圖
系統設計之初就特別注重安全性,基於Shiro在頁面和介面都實現了許可權校驗。
用戶登錄時對用戶的帳號密碼進行驗證,獲取用戶的資訊和role許可權,頁面顯示的時候會根據用戶擁有的許可權顯示對應的狀態,介面請求的時候也會進行用戶許可權的校驗,數據保存到資料庫時候還進行Sql和Xss的過濾,整個過程的核心思路是Shiro對用戶的認證和授權。具體流程如下圖:
許可權校驗整體思路
Shiro的認證和授權
實現Shiro的認證和授權,需要自定義Realm繼承於AuthorizingRealm,同時重寫doGetAuthenticationInfo(認證)和doGetAuthorizationInfo(授權)這兩個方法。這裡對於系統與Shiro的整合就不再做多的說明。
用戶登錄的時候,將用戶的帳號和密碼包裝成一個UsernamePasswordToken後,再調用login提交賬戶認證,shiro會自動調用我們重寫的doGetAuthenticationInfo方法。
Subject subject = SecurityUtils.getSubject();UsernamePasswordToken token = new UsernamePasswordToken(username, password);//提交認證subject.login(token
//Shiro進行認證@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken)authcToken; //獲取用戶資訊 SysUserEntity user = new SysUserEntity(); user.setUsername(token.getUsername()); user = sysUserDao.selectOne(user); //帳號不存在 if(user == null) { throw new UnknownAccountException("帳號或密碼不正確"); } SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName()); return info;}
如果認證成功,那麼在系統的任何地方通過SecurityUtils.getSubject()方法就可以獲取認證通過的資訊。我們也可以藉助它的這點特性,實現用戶的自動登錄。
這裡需要補充一點,系統把許可權化成了一個個的標籤保存在資料庫中,用戶的許可權中持有對應的標籤則表示擁有對應的操作許可權。而對於Shiro的授權,在doGetAuthorizationInfo中需要獲取用戶的所有許可權列表,通過許可權列表篩選出是否擁有操作許可權。
//Shiro進行授權@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { //獲取認證時候添加到SimpleAuthenticationInfo中的實例 SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal(); Long userId = user.getUserId(); //查詢用戶所有許可權 Set<String> permsSet = new HashSet<String>(); List<String> permsList = sysUserDao.queryAllPerms(userId); for(String perms : permsList){ if(StringUtils.isBlank(perms)){ continue; } permsSet.addAll(Arrays.asList(perms.trim().split(","))); } SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.setStringPermissions(permsSet); return info;}
Shiro的授權是被動的,只有被相應的條件觸發才會進行用戶授權,方式有以下幾種:
1.作用於頁面。頁面里如果遇到<#if shiro.hasPermission("sys:del")></#if>,Shiro會調用自定義Realm獲取許可權資訊,看"sys:del"是否在許可權數據中存在,存在則授權通過,不存在則拒絕訪問,可應用於對一些按鈕和標籤的特定開放。
<#if shiro.hasPermission("sys:add")> <a class="btn btn-primary" @click="add">新增</a></#if><#if shiro.hasPermission("sys:del")> <a class="btn btn-primary" @click="del">刪除</a></#if>
2.通過註解的方式作用於介面。在controller中,方法如果加了@RequiresPermissions("sys:del")註解,Shiro同樣會調用自定義Realm獲取許可權資訊,看"sys:del"是否在許可權數據中存在,存在則授權通過,不存在則拒絕訪問,從而實現對介面的許可權校驗。
@RequestMapping("/delete")@RequiresPermissions("sys:del")public R delete(long deptId){ //判斷是否有子部門 List<Long> deptList = sysDeptService.queryDetpIdList(deptId); if(deptList.size() > 0){ return R.error("請先刪除子部門"); } sysDeptService.deleteById(deptId); return R.ok();}
到此,基本上便實現了Shiro在頁面和介面的許可權控制。當然,Shiro更多是作用於表現層的一個控制,而出於系統安全考慮也應該增加對數據的校驗。因此在數據層面,則可通過Sql過濾和Xss過濾的方式實現過濾。項目中已經為其封裝成工具,原理都是正則匹配和字元串替換,感興趣的夥伴可以直接到項目里查看,這裡就不再累述了。
系統除了實現許可權控制外,也實現了很多後台管理系統開發中常用到的一些功能,像Quartz分散式集群調度、多數據源動態切換以及集群部署下Session管理,感興趣的夥伴也可以查看源碼。
項目地址:https://gitee.com/renrenio/renren-security
